اخلاء مسؤولية | DISCLAIMER
مجموعة تهديد مدعومة من كوريا الشمالية يتم تعقبها أثناء قيام Kimsuky باستخدام امتداد متصفح ضار لسرقة رسائل البريد الإلكتروني من مستخدمي Google Chrome أو Microsoft Edge الذين يقرؤون بريد الويب الخاص بهم.
الامتداد ، الذي أطلق عليه باحثو Volexity SHARPEXT الذين اكتشفوا هذه الحملة في سبتمبر ، يدعم ثلاثة متصفحات ويب مستندة إلى Chromium (Chrome و Edge و Whale) ويمكنه سرقة البريد من حسابات Gmail و AOL.
يقوم المهاجمون بتثبيت الامتداد الضار بعد اختراق نظام الهدف باستخدام برنامج نصي VBS مخصص عن طريق استبدال ملفات “التفضيلات” و “التفضيلات الآمنة” بأخرى تم تنزيلها من خادم الأوامر والتحكم الخاص بالبرامج الضارة.
بمجرد تنزيل ملفات التفضيلات الجديدة على الجهاز المصاب ، يقوم متصفح الويب تلقائيًا بتحميل امتداد SHARPEXT.
قال Volexity يوم الخميس: “يقوم البرنامج الضار بفحص البيانات مباشرة من حساب بريد الويب الخاص بالضحية ويسحبها أثناء تصفحه له”.
“منذ اكتشافه ، تطور الامتداد وهو حاليًا في الإصدار 3.0 ، بناءً على نظام الإصدار الداخلي.”
كما كشفت Volexity اليوم ، فإن هذه الحملة الأخيرة تتوافق مع هجمات Kimsuky السابقة لأنها تنشر أيضًا SHARPEXT “في هجمات مستهدفة على السياسة الخارجية والأفراد النوويين وغيرهم من الأشخاص ذوي الأهمية الاستراتيجية” في الولايات المتحدة وأوروبا وكوريا الجنوبية.
هجمات خفية وفعالة للغاية
من خلال الاستفادة من جلسة تسجيل دخول الهدف بالفعل لسرقة رسائل البريد الإلكتروني ، يظل الهجوم غير مكتشفة بواسطة مزود البريد الإلكتروني للضحية ، مما يجعل عملية الكشف صعبة للغاية إن لم تكن مستحيلة.
أيضًا ، لن يؤدي سير عمل الامتداد إلى إطلاق أي تنبيهات بشأن الأنشطة المشبوهة على حسابات الضحايا مما يضمن عدم اكتشاف النشاط الضار عن طريق التحقق من صفحة حالة حساب بريد الويب بحثًا عن التنبيهات.
يمكن لممثلي التهديد الكوري الشمالي استخدام SHARPEXT لجمع مجموعة واسعة من المعلومات باستخدام الأوامر التي:
ضع قائمة برسائل البريد الإلكتروني التي تم جمعها مسبقًا من الضحية لضمان عدم تحميل النسخ المكررة. يتم تحديث هذه القائمة باستمرار عند تنفيذ SHARPEXT.
ضع قائمة بمجالات البريد الإلكتروني التي سبق للضحية التواصل معها. يتم تحديث هذه القائمة باستمرار عند تنفيذ SHARPEXT.
اجمع قائمة سوداء لمرسلي البريد الإلكتروني التي يجب تجاهلها عند جمع رسائل البريد الإلكتروني من الضحية.
أضف مجالًا إلى قائمة جميع المجالات التي شاهدها الضحية.
تحميل مرفق جديد إلى الخادم البعيد.
تحميل بيانات Gmail إلى الخادم البعيد.
وعلق المهاجم. تلقي قائمة المرفقات ليتم تسريبها.
تحميل بيانات AOL إلى الخادم البعيد.
ليست هذه هي المرة الأولى التي تستخدم فيها مجموعة APT الكورية الشمالية ملحقات المستعرض لجمع البيانات السرية وسحبها من أنظمة الأهداف المخترقة.
كما قال فريق ASERT التابع لـ Netscout في ديسمبر 2018 ، أدت حملة التصيد بالرمح التي نظمها Kimsuky إلى دفع امتداد Chrome ضار منذ مايو 2018 على الأقل في هجمات استهدفت عددًا كبيرًا من الكيانات الأكاديمية عبر جامعات متعددة.
أصدرت CISA أيضًا تنبيهًا يركز على تكتيكات المجموعة وتقنياتها وإجراءاتها (TTPs) ، مما يبرز استخدام المجموعة لملحقات المستعرضات الضارة لسرقة بيانات الاعتماد وملفات تعريف الارتباط من متصفحات الويب الخاصة بالضحايا.